Hier volgen enkele veelgestelde vragen en tips voor probleemoplossing voor het toewijzen van Microsoft Entra-rollen aan Microsoft Entra-groepen.
Ik ben een groepsbeheerder, maar ik zie de schakeloptie 'Microsoft Entra-rollen kunnen worden toegewezen aan de groep' niet.
Beheerders van bevoorrechte rollen kunnen een groep maken die in aanmerking komt voor roltoewijzing. Gebruikers met deze rol kunnen deze schakeloptie zien.
Wie kan het lidmaatschap wijzigen van groepen die zijn toegewezen aan Microsoft Entra-rollen?
De beheerder van bevoorrechte rollen beheert standaard het lidmaatschap van een groep die kan worden toegewezen aan rollen, maar u kunt het beheer van roltoewijzingsgroepen delegeren door groepseigenaren toe te voegen.
Ik ben helpdeskbeheerder in mijn organisatie, maar ik kan het wachtwoord van een gebruiker die een directorylezer is, niet bijwerken. Waarom gebeurt dat?
De gebruiker heeft mogelijk toegang gekregen tot Adreslijstlezers via een groep die kan worden toegewezen aan rollen. Alle leden en eigenaren van roltoewijzingsgroepen zijn beveiligd. Gebruikers met de rol Privileged Authentication Administrator kunnen referenties voor een beveiligde gebruiker opnieuw instellen.
Ik kan het wachtwoord van een gebruiker niet bijwerken. Er is geen rol met hogere bevoegdheden toegewezen. Waarom gebeurt het?
De gebruiker kan eigenaar zijn van een roltoewijzingsgroep. We beschermen eigenaren van roltoewijzingsgroepen om uitbreiding van bevoegdheden te voorkomen. Een voorbeeld hiervan is als een groep Contoso_Security_Admins is toegewezen aan de rol Beveiligingsbeheerder, waarbij Bob de groepseigenaar is en Alice de wachtwoordbeheerder binnen de organisatie is. Zonder deze beveiliging kan Alice de referenties van Bob opnieuw instellen en zijn identiteit overnemen. Alice kan zichzelf of iedereen toevoegen aan de groep Contoso_Security_Admins groep om beveiligingsbeheerder te worden in de organisatie. Als u wilt achterhalen of een gebruiker een groepseigenaar is, opent u de lijst met objecten in eigendom voor die gebruiker en controleert u of een van de groepen isAssignableToRole ingesteld op true. Zo ja, dan is die gebruiker beveiligd en is het gedrag standaard. Raadpleeg de volgende documentatie voor toegang tot objecten in eigendom:
Kan ik een toegangsbeoordeling maken voor groepen die kunnen worden toegewezen aan Microsoft Entra-rollen (met name groepen met de eigenschap isAssignableToRole ingesteld op true)?
Ja, dat kan. Beheerders van bevoorrechte rollen kunnen toegangsbeoordelingen maken voor groepen die aan rollen kunnen worden toegewezen.
Kan ik een toegangspakket maken en groepen plaatsen die kunnen worden toegewezen aan Microsoft Entra-rollen?
Ja, dat kan. Gebruikersbeheerder heeft de machtigingen om een groep in een toegangspakket te plaatsen. Er zijn geen wijzigingen voor globale beheerder, maar er is een kleine wijziging in de rolmachtigingen van de gebruikersbeheerder. Als u een roltoewijzingsbare groep in een toegangspakket wilt plaatsen, moet u een gebruikersbeheerder en ook eigenaar van de roltoewijzingsgroep zijn. Hier volgt de volledige tabel waarin wordt weergegeven wie toegangspakket kan maken in Enterprise License Management:
| Maprol Microsoft Entra | Rechtenbeheerrol | Kan beveiligingsgroep toevoegen* | Kan Microsoft 365-groep toevoegen* | Kan een app toevoegen | Kan SharePoint Online-site toevoegen |
|---|---|---|---|---|---|
| Globale beheerder | n.v.t. | ✔️ | ✔️ | ✔️ | ✔️ |
| Gebruikersbeheerder | n.v.t. | ✔️ | ✔️ | ✔️ | |
| Intune-beheerder | Cataloguseigenaar | ✔️ | ✔️ | ||
| Exchange-beheerder | Cataloguseigenaar | ✔️ | |||
| Teams-servicebeheerder | Cataloguseigenaar | ✔️ | |||
| SharePoint-beheerder | Cataloguseigenaar | ✔️ | ✔️ | ||
| Toepassingsbeheerder | Cataloguseigenaar | ✔️ | |||
| Cloudtoepassingsbeheerder | Cataloguseigenaar | ✔️ | |||
| User | Cataloguseigenaar | Alleen indien groepseigenaar | Alleen indien groepseigenaar | Alleen indien app-eigenaar |
*Groep kan niet worden toegewezen; isAssignableToRole = false. Als een groep rollen kan worden toegewezen, moet de persoon die het toegangspakket maakt ook eigenaar zijn van de roltoewijzingsgroep.
Ik kan de optie Toewijzing verwijderen niet vinden in Toegewezen rollen. Hoe kan ik roltoewijzing aan een gebruiker verwijderen?
Dit antwoord is alleen van toepassing op Microsoft Entra ID P1-organisaties.
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
- Blader naar Identiteit>Gebruikers>Alle gebruikers.
- Een gebruiker selecteren.
- Selecteer dan Toegewezen rollen.
- Selecteer een roltoewijzing die u wilt verwijderen.
- Selecteer Toewijzingen verwijderen om directe roltoewijzingen te verwijderen.
Als u indirecte roltoewijzingen wilt verwijderen, verwijdert u de gebruiker uit de groep waaraan de rol is toegewezen.
Hoe kan ik alle groepen zien die rollen kunnen toewijzen?
Volg vervolgens deze stappen:
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteitsgroepen>>Alle groepen.
- Selecteer Filters toevoegen.
- Filter op rol die kan worden toegewezen.
Hoe kan ik weten welke rol direct en indirect aan een principal wordt toegewezen?
Volg vervolgens deze stappen:
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteit>Gebruikers>Alle gebruikers.
- Een gebruiker selecteren.
- Selecteer dan Toegewezen rollen.
- Als u een Licentie voor Microsoft Entra ID P1 hebt, bekijkt u de kolom Toewijzingspad .
- Als u een Licentie voor Microsoft Entra ID P2 hebt, bekijkt u de kolom Lidmaatschap .
Waarom wordt afgedwongen dat er een nieuwe groep wordt gemaakt om deze toe te wijzen aan een rol?
Als u een bestaande groep aan een rol toewijst, kan de bestaande groepseigenaar andere leden aan deze groep toevoegen zonder dat de nieuwe leden zich realiseren dat ze de rol hebben. Omdat rollen toewijsbare groepen krachtig zijn, hebben we beperkingen ingesteld om ze te beschermen. U wilt geen wijzigingen aan de groep die verrassend zou zijn voor de persoon die de groep beheert.